本頁面由 Cloud Translation API 翻譯而成。

網狀模式

Last reviewed 2025-01-23 UTC

網狀模式是以建立混合式網路架構為基礎。該架構涵蓋多個運算環境。在這些環境中，所有系統都能彼此通訊，且不受限於根據應用程式安全需求進行的單向通訊。這個網路模式主要適用於分層混合式、分區多雲端或爆發式架構。這也適用於業務持續性設計，可在 Google Cloud中佈建災難復原 (DR) 環境。在所有情況下，您都必須以符合下列通訊需求的方式連結運算環境：

工作負載可以使用私人 RFC 1918 IP 位址，跨越環境界限來互相通訊。
雙方皆可發起通訊。通訊模型的具體細節可能因應用程式和安全性需求而異，例如後續設計選項中討論的通訊模型。
您使用的防火牆規則必須允許特定 IP 位址來源和目的地之間的流量，具體取決於模式設計的應用程式或多個應用程式需求。理想情況下，您可以使用多層式安全防護方法，以精細的方式限制運算環境之間和運算環境內部的流量。

架構

下圖說明網狀模式的高階參考架構。

在混合式網路架構中，資料會從 Google Cloud 的兩個子網路流向內部部署環境中的工作負載。

所有環境都應使用不重疊的 RFC 1918 IP 位址空間。
在 Google Cloud 端，您可以將工作負載部署至單一或多個共用虛擬私有雲，或非共用虛擬私有雲。如需這個模式的其他可能設計選項，請參閱下方的設計變化。所選虛擬私有雲結構應與貴機構的專案和資源階層結構設計一致。
虛擬私有雲網路 Google Cloud 會延伸至其他運算環境。這些環境可以是內部部署環境，也可以是其他雲端環境。使用符合業務和應用程式需求的混合式和多雲端網路連線選項。
僅允許來源和目的地的 IP 位址進行通訊。使用下列任一功能或組合：
- 防火牆規則或防火牆政策。
- 具備新一代防火牆 (NGFW) 檢查功能的網路虛擬設備 (NVA)，位於網路路徑中。
- Cloud Next Generation Firewall Enterprise 搭配入侵預防服務 (IPS)，可實作深層封包檢查，防範威脅，不必變更網路設計或路由。

變化版本

網狀架構模式可與其他方法搭配使用，以滿足不同的設計需求，同時仍考量模式的通訊需求。以下各節將說明模式選項：

每個環境各有一個虛擬私有雲
使用集中式應用程式層防火牆
微服務零信任分散式架構

每個環境一個虛擬私有雲

考慮為每個環境使用一個虛擬私有雲的常見原因如下：

雲端環境需要虛擬私有雲網路和資源的網路層級分離，以符合貴機構的資源階層設計。如果需要區隔管理網域，也可以為每個環境搭配使用不同的專案。
- 如要集中管理一般網路中的網路資源，並在不同環境之間提供網路隔離，請為 Google Cloud中的每個環境 (例如開發、測試和生產環境) 使用共用虛擬私有雲。
可能需要超出單一虛擬私有雲或專案的虛擬私有雲配額。

如下圖所示，每個環境一個虛擬私有雲的設計，可讓每個虛擬私有雲直接與地端環境或其他雲端環境整合，方法是使用 VPN 或具有多個 VLAN 連結的 Cloud Interconnect。

在混合式網路架構中，每個環境都有一個虛擬私有雲，資料會從 Google Cloud 的兩個子網路流向內部部署環境中的工作負載。

上圖顯示的模式可套用至登陸區軸輻式網路拓撲。在該拓撲中，單一 (或多個) 混合式連線可與所有輪輻虛擬私有雲共用。方法是使用傳輸虛擬私有雲，終止混合式連線和其他輻式虛擬私有雲。您也可以在 Transit VPC 中新增 NVA，並具備新一代防火牆 (NGFW) 檢查功能，藉此擴展這項設計，詳情請參閱下一節「使用集中式應用程式層防火牆」。

使用集中式應用程式層防火牆

如果您的技術需求規定必須考慮應用程式層 (第 7 層) 和深層封包檢查，並採用超出 Cloud Next Generation Firewall 功能的進階防火牆功能，則可以使用 NVA 中代管的 NGFW 裝置。不過，該 NVA 必須符合貴機構的安全性需求。如要實作這些機制，您可以擴充拓撲，透過集中式 NVA 防火牆傳送所有跨環境流量，如下圖所示。

您可以在登陸區設計中套用下圖的模式，方法是使用軸輻式拓撲和集中式設備：

Google Cloud 中兩個共用 VPC 的資料會流經 NVA，然後透過傳輸 VPC 網路傳輸至內部部署環境中的工作負載。

如上圖所示，NVA 會做為周邊安全層，並做為啟用內嵌流量檢查的基礎。並強制執行嚴格的存取控管政策。如要檢查東西向和南北向流量，集中式 NVA 的設計可能包含多個區隔，並採用不同層級的安全存取控制。

微服務零信任分散式架構

使用容器化應用程式時，鏡像模式一節中討論的微服務零信任分散式架構，也適用於這個架構模式。

這個模式與鏡像模式的主要差異在於， Google Cloud 和其他環境中工作負載之間的通訊模型可從任一端啟動。必須根據應用程式和安全性的需求，使用 Service Mesh 精細控管流量。

網格模式最佳做法

在進行任何其他操作前，請先決定資源階層結構設計，以及支援任何專案和虛擬私有雲所需的設計。這麼做有助於您選取與 Google Cloud 專案結構相符的最佳網路架構。
在私人運算環境中使用 Kubernetes 時，請採用零信任分散式架構。Google Cloud
在設計中集中使用 NVA 時，您應定義多個區隔，並採用不同層級的安全存取控制和流量檢查政策。請根據應用程式的安全性需求，設定這些控制項和政策。
設計包含 NVA 的解決方案時，請務必考量 NVA 的高可用性 (HA)，避免單一故障點阻斷所有通訊。請按照Google Cloud 安全廠商提供的 HA 和備援設計與實作指南操作，該廠商會提供 NVA。
如要提升隱私權、資料完整性及受控的通訊模型，請使用 API 閘道 (例如 Apigee 和 Apigee Hybrid) 透過 API 公開應用程式，並採用端對端 mTLS。您也可以在同一個機構資源中，使用共用虛擬私有雲端搭配 Apigee。
如果解決方案設計需要將 Google Cloud型應用程式公開至網際網路，請考慮透過網路提供面向網際網路的應用程式中討論的設計建議。
為保護專案中的服務，並降低資料竊取風險，請使用 VPC Service Controls 在專案或 VPC 網路層級指定服務範圍。 Google Cloud 此外，您也可以透過獲授權的 VPN 或 Cloud Interconnect，將服務範圍延伸至混合式環境。如要進一步瞭解服務範圍的優點，請參閱 VPC Service Controls 總覽。
請參閱混合式雲端和多雲端網路模式的一般最佳做法。

如果您打算在 Google Cloud中託管的應用程式與其他環境之間，強制執行更嚴格的隔離措施和更精細的存取權，請考慮使用本系列其他文件中討論的閘道式模式。

鏡像圖案

閘道模式